İçerik dağıtım ağı (CDN) hizmetlerinin, bulut güvenliğinin ve DDoS korumasının lider sağlayıcısı Cloudflare, yakın zamanda daha fazla siteye kötü amaçlı yazılım enjekte ederken yakalanan Polyfill.io web sitesinde adının veya logosunun kullanılmasına izin vermediği konusunda uyardı Önemli bir tedarik zinciri saldırısında 100.000’den fazla web sitesi.
Ayrıca, interneti güvende tutmak için Cloudflare, Cloudflare korumasını kullanan web sitelerinde (ücretsiz planlar dahil) polyfill.io bağlantılarını otomatik olarak güvenli bir aynayla değiştiriyor.
Cloudflare: ‘Yine bir uyarı’ Polyfill’e güvenilemez
Cloudflare, Polyfill.io’nun adını ve logosunu izinsiz kullanmasını eleştirdi çünkü bu, kullanıcıları yasa dışı web sitesinin Cloudflare tarafından desteklendiğine inandıracak şekilde yanıltabilir.
Bulut güvenliği lideri ayrıca bunun Polyfill.io’ya güvenmemek için başka bir neden olduğu konusunda uyardı.
Cloudflare ekibi dün yayınlanan bir blog yazısında “polyfill.io web sitesinde belirtilenin aksine, Cloudflare hiçbir zaman polyfill.io hizmetini önermedi veya Cloudflare adının kendi web sitesinde kullanılmasına izin vermedi” diye yazdı.
“Onlardan asılsız beyanı kaldırmalarını istedik ve şu ana kadar taleplerimizi görmezden geldiler. Bu da onlara güvenilmeyeceğine dair bir başka uyarı işareti.”
Uyarı, 100.000’den fazla web sitesini vuran Polyfill.io tedarik zinciri saldırısının keşfedilmesinin ardından geldi.
Şubat ayında ‘Funnull’ adlı Çinli bir kuruluş polyfill.io’yu satın aldı etki alanına girdi ve CDN’si tarafından iletilen komut dosyalarına kötü amaçlı kod ekledi.
Sansec araştırmacıları tarafından keşfedildiği üzere alan adı, mobil cihazlara cdn.polyfill’den kod yerleştiren bir web sitesini ziyaret edecek kötü amaçlı yazılım yerleştirmeye başladı.[.]io.
Dün BleepingComputer cdn.polyfill için DNS girişlerinin olduğunu gözlemledi.[.]io dosyaları gizemli bir şekilde Cloudflare sunucularına ayarlandı ancak bu, (yeni) etki alanı sahiplerinin DNS’yi kolayca kötü amaçlı sunuculara geri değiştirebileceği için saldırının kontrol altına alındığına dair kesin bir işaret değil.
Üstelik Polyfill.io’nun sahiplerinin de diğer web siteleri gibi Cloudflare’in DDoS koruma hizmetlerini kullanıyor olması tamamen mümkündür ancak bu, Cloudflare’in alan adını onayladığı anlamına gelmez.
BleepingComputer daha önce Cloudflare ile DNS kayıtlarının değiştirilmesine dahil olup olmadıklarını öğrenmek için iletişime geçmiş ancak geri dönüş alamamıştı. Bugün itibariyle polyfill.io artık çevrimiçi değil.
Otomatik URL değiştirme ücretsiz olarak sunuluyor
Cloudflare, son 24 saat içinde Cloudflare müşterilerinin web sitelerindeki polyfill.io bağlantılarını Cloudflare tarafından kurulan güvenli bir ayna CDN ile değiştirmek için otomatik URL yeniden yazma hizmetini yayınladı.
Cloudflare ekibi, “Son 24 saat içinde, Cloudflare tarafından proxylenen bir web sitesinde bulunan polyfill.io bağlantısını cdnjs altındaki aynamızın bağlantısına yeniden yazacak bir otomatik JavaScript URL yeniden yazma hizmetini yayınladık” dedi. Blog yazısı.
“Bu, tedarik zinciri saldırısı riskini azaltırken site işlevselliğinin bozulmasını önleyecektir.”
“Ücretsiz plandaki tüm web siteleri artık bu özelliği otomatik olarak etkinleştiriyor. Ücretli plandaki web siteleri bu özelliği tek bir tıklamayla etkinleştirebilir.”
Cloudflare kullanıcıları bu yeni ayarı Cloudflare kullanan herhangi bir bölgede Güvenlik ⇒ Ayarlar altında bulabilir.
Cloudflare kullanmayanlar için şirket yine de polyfill.io kullanımının kaldırılmasını ve alternatif bir çözüm belirlenmesini öneriyor.
Şirket, “Otomatik değiştirme işlevi çoğu durumu halledecek olsa da en iyi uygulama, polyfill.io’yu projelerinizden kaldırmak ve müşteri olsanız bile onu Cloudflare’inki gibi güvenli bir alternatif aynayla değiştirmektir” dedi.
“Bunu, kod depolarınızda polyfill.io örneklerini arayarak ve bunu cdnjs.cloudflare.com/polyfill/ (Cloudflare’in aynası) ile değiştirerek yapabilirsiniz. İki URL aynı polyfill içeriğini sunacağından bu, kalıcı bir değişikliktir. Cloudflare kullanan web sitesi ne olursa olsun tüm web sitesi sahipleri bunu şimdi yapmalıdır.”
Başka bir siber güvenlik firması Leak Signal da cdn.polyfill.io kullanarak siteleri aramanıza olanak tanıyan ve alternatiflere geçiş konusunda bilgi sağlayan Polykill.io adında bir web sitesi oluşturdu.